Definition av nätfiske
Nätfiske är en typ av cyberattack där brottslingarna använder vilseledande mejl för att få dig att lämna ut känslig information. Informationen används sedan för att komma åt viktiga konton som kan leda till identitetskapningar och stora ekonomiska förluster. Då nätfisket blir allt vanligare och alltmer sofistikerat är sådana attacker ett av de största säkerhetshoten för företag.
|
Innehåll
Nätfiskeattacker blir allt vanligare
Nätfisket visar inga tecken på att avta. Under 2020 var nätfiske den vanligaste typen av IT-brottslighet och incidenterna närapå dubblades i antal från året före. Globalt utsattes 75 % av alla organisationer för någon form av nätfiske 2020.
Det är ingen tvekan om att pandemin har inneburit förändringar för företagen i form av osäkerhet och nya arbetssätt med exempelvis distansarbete. Tillsammans med tillgången till nätfiskekit bidrar detta till att det är enklare än någonsin för IT-brottslingarna att slå till, och företagen drabbas av en perfekt storm.
I detta blogginlägg reder vi ut vad nätfiske är, hur attacker ser ut i stora drag och vilka typer av nätfiske man behöver känna till. Därefter kommer vi in på vad man kan göra för att skydda sitt företag mot nätfiske.

Utmärkande drag i nätfiskemejl
De flesta vet att ett mejl från en ”nigeriansk prins” med löfte om en stor summa pengar är nätfiske. När IT-brottslingarna använder taktiker för att få förtroende och få en att känna att det brådskar kan även rutinerade personer bli lurade! Vi tar en titt på hur ett nätfiskemejl i vanliga fall ser ut: De flesta vet att ett mejl från en ”nigeriansk prins” med löfte om en stor summa pengar är nätfiske. När IT-brottslingarna använder taktiker för att få förtroende och få en att känna att det brådskar kan även rutinerade personer bli lurade! Vi tar en titt på hur ett nätfiskemejl i vanliga fall ser ut:
-
Mejlet har dålig grammatik och stavfel. Det tydligaste tecknet på nätfiske är att mejlet har dålig grammatik och stavfel. De flesta företag har stavningskontroll på mejl som skickas, så var observant när du får ett mejl med många fel.
-
Mejlet är mycket egendomligt. Om begäran i mejlet är extraordinär, långt ifrån normen, ska du förhålla dig skeptisk. Ett exempel kan vara att någon på IT-avdelningen mejlar dig om installation av ett program när sådant normalt görs på ett annat sätt.
-
Mejlet uppmanar dig att agera snabbt. Nätfiskemejl använder ofta hot eller stress för att få mottagaren att agera snabbt utan att tänka förnuftigt. Faktum är att de fem vanligaste ämnesraderna för nätfiskeattacker 2019 innehöll något av orden brådskande, begäran, viktigt, betalning eller observera.
-
Mejlet har suspekta bilagor. Nätfiskemejl har ofta skadliga bilagor eller hyperlänkar till webbplatser med skadlig kod. Ett impulsivt klick räcker för att ens dator ska infekteras, eller att man har lämnat ifrån sig personuppgifter, kreditkortsnummer eller lösenord till IT-brottslingen.
-
Mejlet är för bra för att vara sant. Som i exemplet med den nigerianske prinsen gäller det att om du blir uppmanad att klicka på en länk eller öppna en bilaga för att få en belöning, är det sannolikt nätfiske. Låter något för bra för att vara sant, så är det förmodligen så.

Nätfiske riktar sig ofta till anställda
IT-brottslingar tenderar att rikta in sig på företagets ”svagaste länk”, vilket är anställda som inte har fått ordentlig träning i IT-säkerhet. Nedan följer ett exempel på ett nätfiskemejl som är utformat för att utnyttja de anställdas förtroende och respekt för auktoriteter. Mejlet informerar de anställda om en ”ny utrymningsplan” till följd av ändrade regelverk från myndigheterna, och mottagaren får kort tid på sig att läsa och underteckna planen via den inbäddade hyperlänken.

Vad är ett nätfiskekit?
Ett av skälen till att nätfiske blir vanligare är tillgången till nätfiskekit. Ett nätfiskekit är en samling verktyg som gör det lätt för IT-brottslingar, oavsett tekniskt kunnande, att utföra nätfiske. Detta då man ofta får med e-postmallar, grafik och script som kan användas för att skapa trovärdiga imitationer av legitima webbplatser. Dittills nätfiskekit är tillgängliga på Darknet kommer angreppen sannolikt att fortsätta. Förutom nätfiskekit gör ny AI-teknik nätfiske enklare än någonsin. Vi bad till exempel ChatGPT att skriva ett nätfiskemejl åt oss och fick flera välskrivna e-postmallar som vi kunde skicka ut. Och cyberbrottslingar kan göra samma sak.
Berömda nätfiskeattacker
Vissa nätfiskeattacker skapar rubriker. Exemplen nedan visar hur även teknikföretag utsätts för nätfiske – men också hur angreppen kunde ha avvärjts om företagen hade varit mer proaktiva i arbetet kring nätfiske.
För några år sedan drabbades Facebook och Google av en nätfiskeattack som kostade mer än 100 miljoner USD. En IT-brottsling med ett blufföretag låtsades sälja varor och tjänster till teknikjättarna och skickade nätfiskemejl med fakturor till deras anställda.
Ett annat exempel är Sony Pictures, där anställda mottog nätfiskemejl som tycktes komma från Apple. Offren uppmanades att ange sitt Apple-ID i ett blufformulär, och då kunde angriparen lista ut deras inloggningsuppgifter till Sonys nätverk. Attacken kostade företaget mer än 100 terabyte data med bland annat bokföring och kunduppgifter.

Typer av nätfiske
Spjutnätfiske, samtalsfiske, smishing – listan kan göras lång. Nätfisket har utvecklats till olika former. De har olika måltavlor och metoder, men de har alla det gemensamma målet att komma över känslig information. Vi tar en titt på de olika typerna av nätfiske:
-
Samtalsfiske
-
VD-bedrägerier
-
Spjutnätfiske
-
Whaling
-
Barrel phishing
Smishing - nätfiske med textmeddelanden
Smishing är i grund och botten nätfiske via sms. I likhet med nätfiske har sms:et något brådskande över sig, och det verkar komma från någon betrodd. Det har en länk som leder till ett nätfiskeverktyg där man uppmanas att ange privat information. Här är ett exempel på smishing som riktar in sig på ett kreditkort.
Samtalsfiske - nätfiske via telefon
Har du någon gång fått ett telefonsamtal från någon som uppger sig representera Microsoft? Då har du blivit utsatt för samtalsfiske. Du kanske tänker: ”vilken vettig person skulle gå på något sådant”, men lite fiffel med uppringarens ID och övertalning räcker för att få förvånansvärt många att installera mjukvara som är skadlig. Se exempel på vanliga attacker med samtalsfiske här.
VD bedrägerier - när man utger sig för att vara företagsledare
VD-bedrägerier innebär att IT-brottslingen utger sig för att vara vd, finanschef eller någon annan direktör via e-post. Bedragaren utnyttjar förtroendet för auktoriteter, och offret luras till att göra som det står i mejlet utan att tänka en extra gång.
Spjutnätfiske - attacker riktade mot vissa anställda
Spjutnätfiske innebär riktat nätfiske. Istället för massutskick gör angriparen efterforskning för att skriva meddelanden till en viss individ eller grupp i en organisation. Detta kräver en större arbetsinsats av IT-brottslingen, men chansen att lyckas är större eftersom människor lättare låter sig luras av någon som känner dem.
Whaling - attacker riktade mot höga chefer
Whaling, eller valnätfiske, är en form av spjutnätfiske som inriktar sig på ”stora fiskar” som verkställande direktörer och andra högt uppsatta. IT-brottslingen utnyttjar den offentligt tillgängliga informationen om personerna när de skriver nätfiskemejlen. Ett whalingmejl kan till exempel komma med beskedet att företaget står inför en rättstvist eller att dess rykte är i fara till följd av någon händelse eller någon åtgärd som direktören har vidtagit. Verkliga exempel på whaling finns på denna blogg.
Barrel phishing - ett “oskyldigt” mejl skickas före nätfiskemejlet
Denna taktik kallas också ”double-barreling” och innebär att två separata mejl skickas, där det första är bete och det andra har den skadliga bilagan. Det första mejlet kan se ut att komma från en kollega och ha innehåll i stil med ”Tjena, är du på kontoret? Jag behöver hjälp med en sak”. Syftet med det snälla mejlet är att etablera förtroende och trovärdighet, så att offret lättare låter sig luras. Sedan kommer uppföljningsmejlet med något i stil med ”Hej igen, kan du titta på denna rapport snarast möjligt”. Det mejlet har en osäker länk till en bluffsajt.
Pharming
Pharming innebär att IT-brottslingen utan att man märker det dirigerar en till en webbplats som ser äkta ut, till exempel ens bank. Då kan IT-brottslingen komma över dina inloggningsuppgifter och logga in på ditt konto. Till skillnad från nätfiske som sker via elektronisk kommunikation görs pharming i webbläsaren. Hur går det till? Förenklat manipulerar IT-brottslingen domännamnssystemet (DNS) som kopplar webbläsare till webbplatser. Därför är denna sorts attack extremt sofistikerad och svår att upptäcka.
Hur man arbetar förebyggande mot nätfiske
Hur gör man för att inte bli lurad? Två specifika åtgärder som bidrar till att skydda ditt företag mot nätfiskeattacker är att samla mejl och att göra tester med simulerade mejl. Verkligheten är emellertid att människor är målen för nätfisket, och därför måste människor utgöra det primära försvaret! Det handlar alltså först och främst om att skapa en medvetenhet om nätfiske och etablera en god säkerhetskultur i företaget för att skydda sig.

Samla inkommande e-post
”Sandboxing” är en proaktiv försvarstaktik som din IT-avdelning kan implementera. Den går ut på att kolla osäkra mejl, URL:er och bilagor i en isolerad testmiljö, innan de släpps till nätverket eller e-postservern. Tekniken ger ett extra skydd utöver den vanliga filtreringen.
Gör tester med simulerat nätfiske
Penetrerande testning, eller pen-testning, är en övning som testar din organisations beredskap med avseende på nätfiske. Ett sätt att göra detta är med simulerade nätfiskeattacker där dina anställda kan lära sig att känna igen bluffmejl. Man kan implementera övningen på egen hand eller arbeta med en extern övningspartner, beroende på vilka mål man har. Utifrån resultaten kan man identifiera svaga punkter och utforma strategier för att vidareutbilda de anställda.
Medvetenhet om nätfiske
When you learn to spot the signs of phishing, you can better protect yourself and your company against attacks. Therefore, phishing awareness is key when it comes to prevention. However, a one-off crash course is not enough; as phishing attacks continue evolving, continuous training is essential to create an aware team. In fact, by combining simulations with on-going awareness training, you are empowering your team to become a strong first line of defense. Awareness training can take place through digital e-learning or physical teaching, or a mixture of both. När man lär sig att känna igen tecknen på nätfiske kan man bättre skydda sig själv och sitt företag mot angrepp. Därför är medvetenhet om nätfiske nyckeln till att avvärja angrepp. Att hålla en utbildning bara en gång räcker emellertid inte; nätfisket fortsätter att utvecklas, och kontinuerlig träning är därför nödvändigt för att få en medveten personalstyrka. Genom att kombinera simulationer med träning får man en personal som utgör ett starkt första skydd. Träningen kan äga rum digitalt eller med klassrumsundervisning, eller med en blandning av bådadera.
Enligt en av våra studier så minskar anatalet misstag i simulerade nästfiskeattacker med 50% efter att anställda kontinuerligt deltagit i våran medvetenhetsträning och träning i nätfiske.

Create a good security culture
Sist men inte minst: etablera en IT-säkerhetskultur där personalen beter sig på ett säkert sätt och slår larm om något verkar lurt. Se till exempel till att det finns rutiner att följa vid en cyberattack och att de anställda vet vart de ska vända sig. Etablerandet av sådana rutiner och klargörande av roller och förväntningar är några av fördelarna med en nätfiskeövning.
Dessutom ska de anställda alltid be om hjälp om de är tveksamma och inte vara rädda för att göra fel. På så sätt lär de sig att anmäla om de har klickat på en länk och skadan är skedd. Resultatet blir att lämpliga åtgärder kan vidtas snabbare och att skadan kan begränsas avsevärt.
Slutligen: belöna personer som anmäler nätfiske, kanske med att visa upp ”dagens fångst”. Hjälp också teamet att vara på alerten och bete sig säkert digitalt genom att ladda ned våra kostnadsfria cybersäkerhetsposters att fästa på kontorets väggar!
Slutord
I detta blogginlägg har vi gått igenom vad nätfiske är och varför det är en av de största säkerhetsriskerna för företag idag. Vi har lärt oss att nätfiske finns i alla former och storlekar och att vem som helst i organisationen kan utsättas. Därför har det aldrig varit viktigare än nu att hålla övningar för att öka medvetenheten om nätfiske. Blir människorna säkrare är organisationen betydligt bättre rustad för nästa nätfiskeattack!